Windows RRAS VPN не может установить параметры на Mac L2TP-клиентах из-за отбрасывания пакетов ретранслятора DHCP
При настройке службы L2TP VPN для удаленного доступа в Windows Routing and Remote Access мы столкнулись со странной проблемой с настройкой параметров на подключающихся клиентах. Способ предоставления этих настроек клиентам L2TP в RRAS через DHCP ( MS doc ) - клиент L2TP отправляет пакет DHCPInform, который затем применяет настройки из параметров DHCP (параметр 15 для суффикса поиска DNS, и вариант 121 для разделенных туннельных маршрутов).
В большинстве оконечных точек VPN клиента L2TP, таких как Cisco ASA, служба L2TP создает ответ DHCP с настроенными настройками DNS и маршрутизации, но в RRAS вы используете ретранслятор DHCP, встроенный в RRAS, или DHCP-сервер в локальной подсети - но эти параметры должны быть установлены в DHCP, а не через атрибут RADIUS, настройку RRAS или что-то еще. (слишком много подробностей о том, как работает DHCPInform и почему » Я ожидал, что журнал событий Windows прольет свет на причину сброса (поскольку документация существует для всех этих событий ), но ни одно из этих событий не начало регистрироваться. Наконец, после включения журналов трассировки RRAS, C: \ Windows \ system32 \ tracing \ IPBOOTP.LOG , наконец, дал подсказку о том, почему DHCP-пакеты Mac были неприемлемыми:
[9712] 12:09:10: dropping REQUEST with secs-since-boot 0 on interface 42 (192.0.2.8)
Почему не RRAS DHCP Relay выполняет свою работу и отправляет DHCP-пакеты этих VPN-клиентов на DHCP-сервер?
Как оказалось, настройки по умолчанию для агента ретрансляции DHCP просто не работают для некоторых клиентов L2TP.
Когда вы настраиваете интерфейс для ретрансляции DHCP в RRAS (на «внутреннем» интерфейсе, куда идут клиенты VPN ) параметры по умолчанию выглядят следующим образом:
Это выглядит скромно, но причиной всей этой проблемы является настройка «Порог загрузки». В документации это звучит так полезно!
Количество секунд, в течение которых агент ретрансляции ожидает перед пересылкой сообщений DHCP. Вы также можете щелкнуть стрелки, чтобы выбрать новую настройку. Значение по умолчанию - 4 секунды.
Эта опция полезна, если вы хотите, чтобы локальный DHCP-сервер отвечал первым, но если локальный DHCP-сервер не отвечает, вы хотите пересылать сообщения на удаленный DHCP-сервер.
Очевидно, похоже, что эта опция имеет значение только тогда, когда вы выполняете фактическую ретрансляцию DHCP внутри вашей сети. Даже в самом подробном руководстве Microsoft по использованию DHCP Relay для параметров VPN нет упоминания о необходимости уделять внимание настройке порога загрузки.
Но журналы не лгут, и , отбрасывание ЗАПРОСА с секундами с момента загрузки 0 казалось явным указанием на то, что сам агент DHCP-ретрансляции был виноват. Эта ошибка указала мне на сообщение в блоге от полезного администратора из Лихтенштейна, которое наконец показало мне, что происходит.
Параметр DHCP-ретрансляции «Boot threshold» не является задержкой, как следует из документации - это жесткий фильтр пакетов, отбрасывающий все пакеты DHCP ниже порогового значения. Установка значения выше 0 не имеет смысла при использовании DHCP-ретранслятора для VPN-клиентов (на «внутреннем» интерфейсе) и нарушит способность многих реализаций L2TP-клиентов получать параметры DHCP, несмотря на отсутствие указаний на это поведение в документацию.
После установки порога загрузки на DHCP Relay на 0, L2TP-клиенты Mac успешно извлекают настройки из параметров DHCP 15 (суффикс DNS) и 121 (разделенные туннельные маршруты).